Web应用防火墙包年包月服务默认提供高级版、企业版、旗舰版等套餐(独享版需要提交工单申请后才支持开通)。通过包年包月方式开通WAF时,您可以根据要防护的业务规模和安全防护需求选择合适的套餐。本文介绍了不同WAF套餐适用的业务规模和支持的防护功能。

适用的业务规模

下表描述了不同WAF套餐适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择企业版或者旗舰版。
说明 独享版需要提交工单申请后才支持开通。
业务规格 高级版 企业版 旗舰版 独享版(仅支持工单开通)
站点规模 中小型网站,对业务没有特殊的安全需求 中型企业级网站或服务对互联网公众开放,关注数据安全且具有高标准的安全需求 中大型企业网站,具备较大的业务规模,或是具有特殊定制的安全需求 大型企业网站,具备较大的业务规模且基于业务特性具有定制化的配置需求
业务并发请求峰值 2,000 QPS 5,000 QPS 超过10,000 QPS 5,000 QPS
业务带宽阈值(源站服务器部署在阿里云) 50 Mbps 100 Mbps 200 Mbps 100 Mbps
业务带宽阈值(源站服务器未部署在阿里云) 10 Mbps 30 Mbps 50 Mbps 30 Mbps
默认可防护的一级域名个数 1个 1个 1个 1000个
默认可防护的总域名个数(支持泛域名) 10个 10个 10个 1000个

关于如何开通Web应用防火墙服务,请参见开通Web应用防火墙

WAF套餐功能列表(中国内地)

下表描述了Web应用防火墙-中国内地实例(购买实例时选择中国内地地域)的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • √:表示在当前套餐中支持。
  • ×:表示在当前套餐中不支持。
  • 增值:表示需要在开通WAF时额外开启的特性,或者在开通WAF后需要使用升级功能单独购买的特性。
功能模块 描述 高级版 企业版 旗舰版 独享版

(仅支持工单开通)

相关文档
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。 上传HTTPS证书
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 × 支持的自定义端口范围
IPv6防护 支持IPv6访问流量的安全检测与防护。 × 开启IPv6防护
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 增值 增值 增值 增值 智能负载均衡接入能力
域名独享资源包 支持为域名开启独享IP防护。 增值 增值 增值 增值 域名独享资源包
独享集群 基于业务特性的定制化接入和防护能力。 × × × 设置独享集群
资产识别 主动发现和管理站点资产,支持一键接入防护。 资产识别
透明接入 直接牵引源站ECS的流量到Web应用防火墙进行防护。 × ECS/SLB透明接入
网站防护
正则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。 设置正则防护引擎
自动更新Web 0day漏洞攻击防护规则。 查看产品信息
支持自定义防护规则组。 × 自定义防护规则组
大数据深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × 设置大数据深度学习引擎
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × × 设置主动防御
网站防篡改 锁定网站页面,防止内容被恶意篡改。 设置网站防篡改
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 设置防敏感信息泄露
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。 设置CC安全防护
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。 设置IP黑名单
IP黑名单(地域级) 支持一键封禁指定地理区域IP的访问能力。 ×
扫描防护(基础) 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 设置扫描防护
扫描防护(高级) 包含基础特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 ×
自定义防护策略(基础) 基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 设置自定义防护策略
自定义防护策略(高级) 包含基础特性,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
自定义防护策略(频率控制) 自定义CC防护规则,设置基于IP和Session进行请求次数统计的频率控制策略。 ×
支持基于自定义字段进行请求次数统计。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 增值 增值 增值 增值 设置数据风控
Bot管理 提供针对自动化攻击或Bot流量的智能防护方案,缓解机器流量对业务造成的安全威胁。支持人机识别,防黄牛、防恶意注册场景。 增值 增值 增值 增值 设置合法爬虫规则

设置爬虫威胁情报规则

App防护 专门针对原生APP端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值 增值 增值 增值 设置App防护
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 设置账户安全
API安全 支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行。 × 开启API安全
安全分析和支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值 增值 增值 增值 概述
可视化大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 增值 增值 增值 增值 数据大屏
产品专家服务 由阿里云安全专家提供钉钉群咨询服务,负责产品配置、策略优化、日常监控等技术支持。 增值 增值 增值 增值 WAF产品专家服务

WAF套餐功能列表(海外地区)

下表描述了Web应用防火墙-海外地区实例(购买实例时选择海外地区地域)的主要功能模块在不同套餐中的支持情况。更详细的套餐功能说明,请参见Web应用防火墙产品定价页面

标识说明:
  • √:表示在当前套餐中支持。
  • ×:表示在当前套餐中不支持。
  • 增值:表示需要在开通WAF时额外开启的特性,或者在开通WAF后需要使用升级功能单独购买的特性。
表 1. WAF包年包月服务(海外地区)套餐功能
功能模块 描述 高级版 企业版 旗舰版 独享版

(仅支持工单开通)

相关文档
业务接入
HTTPS安全防护 全站一键实现HTTPS防护。 上传HTTPS证书
非标准端口防护 支持防护80、8080、443、8443以外的特定非标准端口上的业务。 × 支持的自定义端口范围
IPv6防护 支持IPv6访问流量的安全检测与防护。 × × × × 开启IPv6防护
智能负载均衡 通过多节点智能接入技术,实现源站服务器多节点、多线路自动调度容灾。 × 增值 增值 增值 智能负载均衡接入能力
域名独享资源包 支持为域名开启独享IP防护。 增值 增值 增值 增值 域名独享资源包
独享集群 基于业务特性的定制化接入和防护能力。 × × × 设置独享集群
资产识别 主动发现和管理站点资产,支持一键接入防护。 × × × × 资产识别
透明接入 直接牵引源站ECS的流量到Web应用防火墙进行防护。 × × × × ECS/SLB透明接入
网站防护
正则防护引擎 防御常见的Web攻击,例如SQL注入、XSS等。 设置正则防护引擎
自动更新Web 0day漏洞攻击防护规则。 查看产品信息
支持自定义防护规则组。 × × 自定义防护规则组
大数据深度学习引擎 依托于大数据深度学习引擎的0day漏洞风险检测。 × × × × 设置大数据深度学习引擎
主动防御 基于网站访问流量的深度学习,提供主动防御能力。 × × × × 设置主动防御
网站防篡改 锁定网站页面,防止内容被恶意篡改。 × × 设置网站防篡改
防敏感信息泄露 防敏感隐私数据泄露,包括电话号码、身份证、银行卡等重要隐私数据。 × 设置防敏感信息泄露
CC安全防护 防御常见的CC攻击,支持内置的防护和防护-紧急模式。 设置CC安全防护
IP黑名单 一键封禁特定的IP地址和地址段的访问能力。 设置IP黑名单
IP黑名单(地域级) 支持一键封禁指定地理区域IP的访问能力。 ×
扫描防护(基础) 支持高频Web攻击封禁(默认规则)、目录遍历封禁(默认规则)、扫描工具封禁、协同防御。 设置扫描防护
扫描防护(高级) 包含基础特性,且支持自定义高频Web攻击封禁、目录遍历封禁规则。 ×
自定义防护策略(基础) 基于基础字段(包含IP、URL、Referer、User-Agent、Params)的ACL访问控制。 设置自定义防护策略
自定义防护策略(高级) 包含基础特性,且支持高级字段(例如Cookie、Content-Type、Header、Http-Method等)。 ×
自定义防护策略(频率控制) 自定义CC防护规则,设置基于IP和Session进行请求次数统计的频率控制策略。 ×
支持基于自定义字段进行请求次数统计。 × ×
数据风控 防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。 × × × × 设置数据风控
Bot管理 提供针对自动化攻击或Bot流量的智能防护方案,缓解机器流量对业务造成的安全威胁。支持人机识别,防黄牛、防恶意注册场景。 增值 增值 增值 增值 设置合法爬虫规则

设置爬虫威胁情报规则

App防护 专门针对原生APP端,提供可信通信,防机器脚本滥刷等安全防护,可以有效识别代理、模拟器、非法签名的请求。 增值 增值 增值 增值 设置App防护
账户安全 支持识别与账户关联的业务接口(例如注册、登录等)上的撞库、暴力破解、垃圾注册、弱口令嗅探和短信验证码接口滥刷事件。 设置账户安全
API安全 支持上传自定义的API规则文件,确保只有符合规则的API请求才会被执行。 × × 开启API安全
安全分析和支持
日志服务 支持采集WAF所有的日志信息并存储至日志服务中,提供准实时查询分析和在线报表展示等功能。 增值 增值 增值 增值 概述
可视化大屏服务 提供网站整体业务及安全状况的可视化大屏分析。 × 增值 增值 增值 数据大屏
产品专家服务 由阿里云安全专家提供钉钉群咨询服务,负责产品配置、策略优化、日常监控等技术支持。 增值 增值 增值 增值 WAF产品专家服务